Mikä on Ransomware?

Ransomware (kiristyshaittaohjelma) on ollut paljon esillä mediassa esimerkiksi Garminiin kohdistuneessa kyberhyökkäyksen muodossa. Termi Ransomware tai kiristyshaittaohjelma voi olla monelle epäselvä ja helposti saattaa kuvitella sen olevan vain tavanomainen virus, jonka mikä tahansa virustentorjuntaohjelmisto voi estää päätymästä omalle palvelimelle tai tietokoneelle. Joku taas saattaa jopa tietää, että kiristyshaittaohjelma on se paljon puhuttu ”virus”, joka salaa tietokoneen, kunnes uhri maksaa lunnaat kiristäjälle. Kuten moni muukaan tietokoneisiin liittyvä asia, ei tämäkään ole aivan näin yksinkertainen. Tässä blogissa tarkoituksenamme onkin kertoa selkokielellä mikä on Ransomware, miten se tyypillisesti toimii ja miten siltä voisi välttyä.

Kiristyshaittaohjelma on ohjelmisto, joka estää pääsyn osaan tiedostoista tai jopa koko tietokoneelle salaamalla koneen kovalevyt. Ohjelma usein latautuu hämärältä verkkosivulta tai huijausviestin kautta. Tämän jälkeen se salaa tiedostot ja ilmoittaa, että tiedostoihin ei pääse enää käsiksi, ellei käyttäjä maksa lunnaita kiristävälle taholle. Lunnaat ovat usein suuruusluokkaa satoja tai tuhansia euroja, mutta suuryrityksiin kohdistuneissa hyökkäyksissä voidaan puhua jopa kymmenistä miljoonista euroista. Maksu suoritetaan tavanomaisesti kryptovaluutalla, kuten Bitcoinilla, jonka jälkeen kiristäjät myös yleensä palauttavat koneen tiedostot.

Kiristyshaittaohjelman seuraamukset yrityksille voivat olla jopa lamauttavat. Hakkerit ovat muuttuneet entistä röyhkeimmiksi ja vaativat nykyään jopa 6 numeroisia summia. Arvioilta yhden hyökkäyksen keskimääräinen summa globaalisti on 1.4 miljoonaa dollaria, joka pitää sisällään jo pieniinkin yrityksiin kohdistuneet hyökkäykset.

Tietokoneen käyttäjän on erittäin vaikeaa, ellei mahdotonta huomata kiristyshaittaohjelmiston pesiytymistä tietojärjestelmissä. Tällaiselle ohjelmistolle on myös tavanomaista, että se tutkii tietoverkkoa näkymättömissä, pyrkien levittäytymään kaikille koneille, ennen kuin ohjelma suorittaa kaikkien koneiden yhtäaikaisen salaamiseen. Jos päätyy kiristyshaittaohjelman uhriksi, on sen havainnointi käytännössä ainoastaan mahdollista teknologiaa hyödyntämällä. Paras suojautuminen onkin, kuten monissa muissakin tietoturvaan liittyvissä asioissa, työntekijöiden koulutus tietokoneen tietoturvalliseksi käyttäjäksi, jolloin haittaohjelmat eivät edes päädy tietoverkkoon huijausviestien tai saastuneiden tiedostojen mukana.

Kuinka Ransomware hyökkäykset toteutetaan?  

Kiristyshaittaohjelmat ovat viime vuosina kehittyneet huimasti, eivätkä ne enää käytä yhtä tiettyä hyökkäysmetodia, vaan ovat muokkautuneet kohdistumaan automaattisesti isoon massaan koneita, esimerkiksi kuluttajiin, IoT-laitteisiin ja pienyrityksiin. Toinen hyökkäysmetodi on manuaalisesti muokattu suuryrityksiin kohdistettu hyökkäys, jossa usein lunnaiden lisäksi on tarkoituksena aiheuttaa haittaa yrityksen liiketoiminnalle. Kustomoituja ja kohdistettuja hyökkäyksiä on huomattavasti vaikeampi havaita ja estää ennen kuin ne aiheuttavat vahinkoa, sillä niistä ei tunneta hyökkäykselle ominaista sormenjälkeä, eli tapaa toimia.

Seuraavaksi katsotaan tarkemmin, miten Ransomware hyökkäyksiä toteutetaan.  

Kohdistetut hyökkäykset 

Kohdistetut hyökkäykset ovat usein manuaalisesti muokattuja ja suunniteltuja, jossa hyökkäys kohdistetaan ainoastaan yhteen uhriin tai yritykseen. Tavoitteena on rampauttaa yrityksen liiketoiminta ja vaatia suuret määrät lunnaita. Hyökkääjän tavoitteena on saada pääsy yrityksen verkkoon keinolla millä hyvänsä, useimmiten yksittäisen työntekijän kautta, joka voi olla kuka tahansa siivoojasta toimitusjohtajaan. Päästyään tietoverkkoon sisälle, hyökkääjä etsii verkosta liiketoiminnalle tärkeitä järjestelmiä, kuten tuotantopalvelimet ja varmuuskopiot. Kun hyökkääjä on kartoittanut verkon ja päässyt tunkeutumaan koko verkkoon, toteutuu hyökkäys kaikilla laitteilla yhtäaikaisesti. Tämä vaihe usein toteutetaan sellaiseen aikaan, kun yrityksen IT:n tiedetään olevan normaalia vähäisimmillä resursseilla, esimerkiksi paikallisina juhlapyhinä yöaikaan.

Tavanomainen hyökkäys tapahtuu näin:  

 

Etätyöpöytä protokolla vai kiristysohjelmien asennus protokolla?  

Etätyöpöytä protokolla (RDP) on yksi maailman käytetyimmistä ominaisuuksista, jolla admin-tason käyttäjä pääsee käsiksi laitteisiin etänä. Valitettavasti monet käyttäjät eivät käytä tarvittavia suojausmekanismiohjelmistoja, joilla voidaan estää kiristäjien reittiä sekä kiristysohjelmien käyttöä.  

Jos esimerkiksi RDP:tä ei suojata VPN:n avulla tai vähintään määritellä mistä ip-osoitteesta RDP-yhteyden voi muodostaa, jätetään suuria tietoturva-aukkoja palvelimen tai laitteen tietoturvaan. Hyökkääjät käyttävät useasti ns. brute-force työkaluja, joilla he testaavat sadoista tuhansiin eri käyttäjänimiä ja salasanoja, jolla päästä käsiksi käyttäjän laitteeseen.  

Tietoturva tietoturva tietoturva 

Kiristyshaittaohjelmat voivat olla erittäin vaikeasti havaittavissa, joten tietoturva ylläpitäminen yritysverkossa on erittäin tärkeää. Vaikka monet asiakkaat sanovat, että ei meidän kokoiseen yritykseen tule tälläisia hyökkäyksiä, olettamus on väärä. Ransomwarea käytetään enenemissä määrin pienempiinkin yrityksiin, joilla ei ole valmiuksia vielä estää näitä hyökkäyksiä.  

Seuraavassa blogissamme käsittelemme, mitä tekijöitä pitää ottaa huomioon estäessä Ransomwarea omassa yritystoiminnassa.  

Niko Niinijärvi
Asiakasvastaava / Markkinointi